アカウント名:
パスワード:
あのぉ、1.1.1.1 は、わたしが使っている IP アドレスですので勝手に使わないでください。https://srad.jp/comment/3386741 [srad.jp]
と、何か関係が・・。
こんなに簡単に詐称できたら、犯罪捜査みたいな社会インフラが破壊されてしまうんじゃないの?NTPの仕様がおかしいのか。
送信元IPアドレスの詐称は、可能。まずは、この辺り [wikipedia.org]を読んでみたら?それができたら、IPスプーフィング [wikipedia.org]を読んでみると良い。
でも、ネットワークの境界で、内側から来たパケットの送信元IPアドレスが、内側のネットワークとしてありえない場合は、通さないようにする [nic.ad.jp]というのは、ごく一般的な運用だと思います。
#20年ほど前の時点で、少なくともOCNはそういう運用してました。#ネットワーク回線を二重化した時に発見。別回線の方で割り当てられたIPアドレスを送信元としたパケットはOCN回線からはインターネットに出て行かなかった。#別回線(プロバイダは失念)の方はOKだったし、OCNな契約2回線(OCNエコノミーとフレッツ)もOKだった
当時はちょっと「OCNは制限キツい運用してるなー」って思いましたが、その後の「不正なIPアドレスを使った攻撃」の流行っぷりを見ると、もはやそういうフィルタリングは常識レベルであり、今時やってなかったら「DoSに荷担してる」って言われても反論できないレベルじゃないかと思いますね。
その通り。普通のプロバイダだとやってるんじゃないかな。
プロバイダレベルでなくても、最近はいろんなところでセッションを管理してるので、上り下りの経路が違ったりすると通信できなくなるよ。
このあたりの設定漏れをあぶり出す効果もあったってわけだ。表向きの名目とは違うところでばっか成果出してんなコレ。
一方的な詐称は可能だが、詐称したIPでの通信は不可能
その通り。だから、誰も福岡大学NTPサーバと、1.1.1.1が正常な通信を行っている、とは言ってないよね。そういうわけで、送信元IPアドレスは、詐称可能。ただ、詐称して正常な通信ができるか、っていうと、普通はできない。そういうことね。
正確にはUDPは可能でしょ。
NTPなら送受信があるけど、SyslogやSNMP Trapみたいなのは送信のみで成立しちゃうから、安易に外部からのSyslog受け付けてるサーバとか危ないよねって・・・
応答が見えなくてもシーケンス番号がわかれば憶測で応答を返せるケースも有ってそういうのではTCPも出来るし、経路上でスニッフィングできれば…いやそれだと経路上から流し込めばいいだけか。
通信しなくても(DMS Amp等)DDoS踏み台ならそれでいけるし、TCPに対するSYN Flood攻撃でも攻撃元の隠蔽に使ったり。
詐称パケットがネット上に流れるだけで十分リスクは有るのです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
関連コメント (スコア:1)
あのぉ、1.1.1.1 は、わたしが使っている IP アドレスですので勝手に使わないでください。
https://srad.jp/comment/3386741 [srad.jp]
と、何か関係が・・。
Re: (スコア:0)
こんなに簡単に詐称できたら、犯罪捜査みたいな社会インフラが破壊されてしまうんじゃないの?NTPの仕様がおかしいのか。
Re:関連コメント (スコア:1)
送信元IPアドレスの詐称は、可能。
まずは、この辺り [wikipedia.org]を読んでみたら?
それができたら、IPスプーフィング [wikipedia.org]を読んでみると良い。
Re:関連コメント (スコア:1)
でも、ネットワークの境界で、内側から来たパケットの送信元IPアドレスが、内側のネットワークとしてありえない場合は、通さないようにする [nic.ad.jp]というのは、ごく一般的な運用だと思います。
#20年ほど前の時点で、少なくともOCNはそういう運用してました。
#ネットワーク回線を二重化した時に発見。別回線の方で割り当てられたIPアドレスを送信元としたパケットはOCN回線からはインターネットに出て行かなかった。
#別回線(プロバイダは失念)の方はOKだったし、OCNな契約2回線(OCNエコノミーとフレッツ)もOKだった
当時はちょっと「OCNは制限キツい運用してるなー」って思いましたが、その後の「不正なIPアドレスを使った攻撃」の流行っぷりを見ると、もはやそういうフィルタリングは常識レベルであり、今時やってなかったら「DoSに荷担してる」って言われても反論できないレベルじゃないかと思いますね。
Re:関連コメント (スコア:1)
その通り。
普通のプロバイダだとやってるんじゃないかな。
プロバイダレベルでなくても、最近はいろんなところでセッションを管理してるので、上り下りの経路が違ったりすると通信できなくなるよ。
Re: (スコア:0)
このあたりの設定漏れをあぶり出す効果もあったってわけだ。
表向きの名目とは違うところでばっか成果出してんなコレ。
Re: (スコア:0)
一方的な詐称は可能だが、詐称したIPでの通信は不可能
Re:関連コメント (スコア:1)
その通り。
だから、誰も福岡大学NTPサーバと、1.1.1.1が正常な通信を行っている、とは言ってないよね。
そういうわけで、送信元IPアドレスは、詐称可能。
ただ、詐称して正常な通信ができるか、っていうと、普通はできない。
そういうことね。
Re: (スコア:0)
正確にはUDPは可能でしょ。
NTPなら送受信があるけど、SyslogやSNMP Trapみたいなのは
送信のみで成立しちゃうから、安易に外部からのSyslog受け付けてるサーバとか危ないよねって・・・
Re: (スコア:0)
応答が見えなくてもシーケンス番号がわかれば憶測で応答を返せるケースも有ってそういうのではTCPも出来るし、
経路上でスニッフィングできれば…いやそれだと経路上から流し込めばいいだけか。
通信しなくても(DMS Amp等)DDoS踏み台ならそれでいけるし、
TCPに対するSYN Flood攻撃でも攻撃元の隠蔽に使ったり。
詐称パケットがネット上に流れるだけで十分リスクは有るのです。